La concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar contratiempos en la utilización de sistemas de las Tecnologías de la Información y la Comunicación (TIC).
Se puede decir que no existe un Sistema que garantice al 100% la seguridad del servicio que presta y la información que maneja debido, en gran medida, a las vulnerabilidades que presentan las tecnologías y lo que es más importante, la imposibilidad de disponer de los suficientes recursos para hacerlas frente. Por tanto, siempre hay que aceptar un riesgo; el conocido como riesgo residual, asumiendo un compromiso entre el nivel de seguridad, los recursos disponibles y la funcionalidad deseada.
La información en la empresa es esencial para llevar a cabo los distintos procesos de negocio: compras, contratación, contabilidad, ventas, etc. El almacenamiento, tratamiento y gestión de la información, en formato digital o en otros formatos son las actividades que conforman los llamados sistemas de información de la empresa que soportan estos procesos. Estos sistemas incluyen también los datos, los recursos materiales (tradicionales, como el bolígrafo y el papel, o tecnológicos) y las personas necesarios para realizar esas las actividades.
Compras
Contratación
Contabilidad
Ventas
ACTIVIDADES DE LOS SISTEMAS DE INFORMACIÓN
LA INFORMACIÓN COMO ACTIVO DE LA EMPRESA
TANGIBLE : ordenadores, dispositivos de almacenamiento, teléfonos móviles, etc.
INTANGIBLE: know-how de los empleados, la reputación, el software, la cartera de clientes, las tarifas o la propiedad intelectual.
Si hablamos de los activos que componen estos sistemas de información, es fácil identificar, en primer lugar, aquellos más tangibles como ordenadores, dispositivos de almacenamiento, teléfonos móviles, etc. Sin embargo, no se debe olvidar que existen otros activos de información, también esenciales para la empresa, que son intangibles como el know-how de los empleados, la reputación, el software, la cartera de clientes, las tarifas o la propiedad intelectual.
Es lógico pensar que la información es un recurso esencial para aquellas empresas cuyo negocio se
basa en ella, como las que se dedican a publicidad, prensa, contenidos multimedia, etc. Pero, todas las empresas deben preocuparse por su información, pues de no estar disponible, alterarse o difundirse sin consentimiento podría afectar a la buena marcha de la empresa. Si nuestros diseños, la cartera de clientes o las tarifas internas cayeran en manos de la competencia las consecuencias podrían ser muy negativas para nuestro negocio y nuestra reputación.
A la protección de los activos de información frente a las amenazas que puedan afectar a su disponibilidad, integridad o confidencialidad la denominamos seguridad de la información. Los incidentes de seguridad que afectan a la información de la empresa pueden ser:
Accidentales
Los sucesos no intencionados son la causa de muchos incidentes. Algunos ejemplos son: borrado de un archivo que pensabas que ya no servía, enviar un correo a un destinatario erróneo o sencillamente una avería en el disco duro.
Intencionados por parte de empleados o insiders
En ocasiones son los propios empleados los que deciden llevarse información de la empresa, causar infecciones o facilitar el acceso a tercero. Lo hacen por motivos propios, como en el caso de empleados insatisfechos o bajo la influencia o el soborno de ciberdelincuentes. Un insider puede causar muchos incidentes pues tiene fácil acceso a la información de la empresa. En particular, los robos o fugas de información son fáciles de realizar dado el reducido tamaño de los dispositivos de almacenamiento extraíble y su creciente capacidad, la accesibilidad a los servicios de almacenamiento en la nube o debido al acceso generalizado al correo electrónico.
Causados por ciberdelincuentes
Utilizando códigos maliciosos o malware que introducen aprovechando debilidades de nuestros sistemas y en ocasiones nuestra ingenuidad o falta de preparación, como cuando utilizan ingeniería social para conseguir el acceso. El malware puede robar información como es el caso de los troyanos o hacerla inaccesible para su propietario al que extorsionan pidiendo un rescate como hacen los llamados ransomware, o hacer que nuestro equipo esté a las órdenes de una botnet que realiza cualquier actividad delictiva.
Por tanto, es muy importante que se adopten las decisiones y medidas necesarias antes de que se produzca un incidente de seguridad que afecte a la información de tu empresa.
2. Los tres pilares de la seguridad
La seguridad de la información consiste en conservar y proteger tres propiedades de la información: disponibilidad, integridad y confidencialidad.
Disponibilidad
Es la propiedad que hace referencia a que la información esté accesible cuando la necesitemos. Por ejemplo, un fallo de disponibilidad ocurre cuando es imposible acceder al correo electrónico corporativo debido a un error de configuración, o bien, cuando se sufre un ataque de ransomware, en el que los archivos son cifrados impidiéndonos el acceso a los mismos.
Integridad
Es la característica de la información que protegemos para que esté libre de modificaciones y errores que impliquen cambios en su contenido. Existe un fallo de integridad cuando la información, por ejemplo la de un informe de ventas, ha podido ser alterada intencionadamente y podemos basar nuestras decisiones en ella. Otros ejemplos de fallos de integridad son el borrado parcial, ya sea accidental o no, de bases de datos, archivos o programas.
Confidencialidad
Es la propiedad por la que la información no se pone a disposición o no se revela a individuos, entidades o procesos no autorizados, es decir, la información confidencial es aquella que debemos proteger del acceso de personas no autorizadas. La difusión intencionada o accidental de esta información se protegerá mediante contratos de confidencialidad con empleados o con terceros que tengan acceso a ella. Tanto a clientes, como a proveedores no les gustaría que información suya fuese expuesta sin su consentimiento y perderíamos su confianza.
La información confidencial puede encontrarse en formato digital, pero también en formato físico (papel y otros soportes) o ser parte del conocimiento de las personas. Independientemente del formato en que se encuentre, se debe proteger. Es responsabilidad de los empleados conocer qué información es confidencial y a quién puede o no comunicarse. Hay distintos tipos de información confidencial:
la que es crítica para la empresa;
la información especialmente sensible que puede interesar a otras empresas;
la información protegida por la legislación como los datos personales o la propiedad intelectual;
la que, aun no siendo datos personales, afecta a clientes, proveedores o socios y no debe caer en manos de terceros.
En función de los activos de información que tenga la empresa se deben seguir una serie de recomendaciones para que su seguridad sea lo más alta posible. Por ello, es importante identificarlos para los distintos procesos de negocio o los distintos servicios a los que pertenecen en un inventario de activos. A estos activos tenemos que asignarles la importancia en estas tres propiedades. Con estos datos podremos priorizar y diseñar su protección.
3. Factores de la amenaza
La generalización del uso de los medios electrónicos en el normal desenvolvimiento de la sociedad ha incrementado la superficie de exposición a ataques y, en consecuencia, los beneficios potenciales derivados, lo que constituye sin duda uno de los mayores estímulos para los atacantes.
En los últimos años se ha mantenido la tendencia, incrementándose el número, tipología y gravedad de los ataques contra los sistemas de información del Sector público, de las empresas e instituciones de interés estratégico o de aquellas poseedoras de importantes activos de propiedad intelectual e industrial y, en general, contra todo tipo de entidades y ciudadanos.
Siguen estando presentes las acciones de ciberespionaje, consistentes en ciberataques originados o patrocinados por Estados y perpetrados por ellos mismos o por otros actores a sueldo, y siempre con la intención de apropiarse de información sensible o valiosa desde los puntos de vista político, estratégico, de seguridad o económico.
A modo de resumen, podemos decir que el ciberespionaje presenta las siguientes características generales:
Origen en Estados, industrias o empresas.
Utilización, generalmente, de ataques dirigidos (Amenazas Persistentes Avanzadas).
Contra los sectores público (información política o estratégica) y privado (información económicamente valiosa).
Con una enorme dificultad de atribución.
Persiguiendo obtener ventajas políticas, económicas, estratégicas o sociales.
4. La privacidad y la Ley
Los datos personales y su privacidad se han convertido en una prioridad para la sociedad y para todas las empresas. Gran empresa o pyme, independientemente del tamaño deben examinar su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad.
Se considera dato de carácter personal «cualquier información concerniente a personas físicas identificadas o identificables», es decir, un DNI es un dato de carácter personal, una fotografía es un dato de carácter personal, e incluso el dato de la estatura de alguien es un dato de carácter personal, si podemos, de alguna forma, saber a quién pertenece.
Desde el Parlamento Europeo se elaboró el Reglamento General de Protección de Datos o RGPD
Su adaptación al derecho español se hizo por medio de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales o LOPDGDD.
Esta ley es aplicable a empresas, sociedades, comunidades y autónomos que realicen algún tipo de tratamiento de datos personales. Para cumplir con la ley es importante conocerla, siendo el empresario quien proporcionará la formación específica a sus empleados. Así, todos los que manejan datos personales estarán preparados para garantizar los derechos y libertades de las personas desde que se comienza a realizar cualquier tipo de tratamiento sobre sus datos. Llevar a cabo un tratamiento incorrecto sobre los datos personales que gestiona la empresa, puede suponer graves consecuencias para esta y su continuidad en el tiempo. Para ello:
5. Referencias
► Agencia Española de Protección de Datos – https://www.aepd.es/es
► Ángeles Centro Criptológico Nacional (CCN) – https://angeles-elearning.ccn-cert.cni.es/
► Consultoría & Desarrollo IT Firma-e – https://www.firma-e.com/blog/pilares-de-la-seguridad-de-la-informacion-confidencialidad-integridad-y-disponibilidad/#:~:text=Pilares%20de%20la%20Seguridad%20de%20la%20Informaci%C3%B3n%3A%20confidencialidad%2C%20integridad%20y%20disponibilidad,-Inicio
► Revista Expansión – https://expansion.mx/manufactura/especiales/importancia-de-la-informacion
Índice
1. La importancia de la información
La concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar contratiempos en la utilización de sistemas de las Tecnologías de la Información y la Comunicación (TIC).
Se puede decir que no existe un Sistema que garantice al 100% la seguridad del servicio que presta y la información que maneja debido, en gran medida, a las vulnerabilidades que presentan las tecnologías y lo que es más importante, la imposibilidad de disponer de los suficientes recursos para hacerlas frente. Por tanto, siempre hay que aceptar un riesgo; el conocido como riesgo residual, asumiendo un compromiso entre el nivel de seguridad, los recursos disponibles y la funcionalidad deseada.
La información en la empresa es esencial para llevar a cabo los distintos procesos de negocio: compras, contratación, contabilidad, ventas, etc. El almacenamiento, tratamiento y gestión de la información, en formato digital o en otros formatos son las actividades que conforman los llamados sistemas de información de la empresa que soportan estos procesos. Estos sistemas incluyen también los datos, los recursos materiales (tradicionales, como el bolígrafo y el papel, o tecnológicos) y las personas necesarios para realizar esas las actividades.
ACTIVIDADES DE LOS SISTEMAS DE INFORMACIÓN
LA INFORMACIÓN COMO ACTIVO DE LA EMPRESA
Si hablamos de los activos que componen estos sistemas de información, es fácil identificar, en primer lugar, aquellos más tangibles como ordenadores, dispositivos de almacenamiento, teléfonos móviles, etc. Sin embargo, no se debe olvidar que existen otros activos de información, también esenciales para la empresa, que son intangibles como el know-how de los empleados, la reputación, el software, la cartera de clientes, las tarifas o la propiedad intelectual.
Es lógico pensar que la información es un recurso esencial para aquellas empresas cuyo negocio se
basa en ella, como las que se dedican a publicidad, prensa, contenidos multimedia, etc. Pero, todas las empresas deben preocuparse por su información, pues de no estar disponible, alterarse o difundirse sin consentimiento podría afectar a la buena marcha de la empresa. Si nuestros diseños, la cartera de clientes o las tarifas internas cayeran en manos de la competencia las consecuencias podrían ser muy negativas para nuestro negocio y nuestra reputación.
A la protección de los activos de información frente a las amenazas que puedan afectar a su disponibilidad, integridad o confidencialidad la denominamos seguridad de la información. Los incidentes de seguridad que afectan a la información de la empresa pueden ser:
Los sucesos no intencionados son la causa de muchos incidentes. Algunos ejemplos son: borrado de un archivo que pensabas que ya no servía, enviar un correo a un destinatario erróneo o sencillamente una avería en el disco duro.
En ocasiones son los propios empleados los que deciden llevarse información de la empresa, causar infecciones o facilitar el acceso a tercero. Lo hacen por motivos propios, como en el caso de empleados insatisfechos o bajo la influencia o el soborno de ciberdelincuentes. Un insider puede causar muchos incidentes pues tiene fácil acceso a la información de la empresa. En particular, los robos o fugas de información son fáciles de realizar dado el reducido tamaño de los dispositivos de almacenamiento extraíble y su creciente capacidad, la accesibilidad a los servicios de almacenamiento en la nube o debido al acceso generalizado al correo electrónico.
Utilizando códigos maliciosos o malware que introducen aprovechando debilidades de nuestros sistemas y en ocasiones nuestra ingenuidad o falta de preparación, como cuando utilizan ingeniería social para conseguir el acceso. El malware puede robar información como es el caso de los troyanos o hacerla inaccesible para su propietario al que extorsionan pidiendo un rescate como hacen los llamados ransomware, o hacer que nuestro equipo esté a las órdenes de una botnet que realiza cualquier actividad delictiva.
Por tanto, es muy importante que se adopten las decisiones y medidas necesarias antes de que se produzca un incidente de seguridad que afecte a la información de tu empresa.
2. Los tres pilares de la seguridad
La seguridad de la información consiste en conservar y proteger tres propiedades de la información: disponibilidad, integridad y confidencialidad.
Es la propiedad que hace referencia a que la información esté accesible cuando la necesitemos. Por ejemplo, un fallo de disponibilidad ocurre cuando es imposible acceder al correo electrónico corporativo debido a un error de configuración, o bien, cuando se sufre un ataque de ransomware, en el que los archivos son cifrados impidiéndonos el acceso a los mismos.
Es la característica de la información que protegemos para que esté libre de modificaciones y errores que impliquen cambios en su contenido. Existe un fallo de integridad cuando la información, por ejemplo la de un informe de ventas, ha podido ser alterada intencionadamente y podemos basar nuestras decisiones en ella. Otros ejemplos de fallos de integridad son el borrado parcial, ya sea accidental o no, de bases de datos, archivos o programas.
Es la propiedad por la que la información no se pone a disposición o no se revela a individuos, entidades o procesos no autorizados, es decir, la información confidencial es aquella que debemos proteger del acceso de personas no autorizadas. La difusión intencionada o accidental de esta información se protegerá mediante contratos de confidencialidad con empleados o con terceros que tengan acceso a ella. Tanto a clientes, como a proveedores no les gustaría que información suya fuese expuesta sin su consentimiento y perderíamos su confianza.
La información confidencial puede encontrarse en formato digital, pero también en formato físico (papel y otros soportes) o ser parte del conocimiento de las personas. Independientemente del formato en que se encuentre, se debe proteger. Es responsabilidad de los empleados conocer qué información es confidencial y a quién puede o no comunicarse. Hay distintos tipos de información confidencial:
En función de los activos de información que tenga la empresa se deben seguir una serie de recomendaciones para que su seguridad sea lo más alta posible. Por ello, es importante identificarlos para los distintos procesos de negocio o los distintos servicios a los que pertenecen en un inventario de activos. A estos activos tenemos que asignarles la importancia en estas tres propiedades. Con estos datos podremos priorizar y diseñar su protección.
3. Factores de la amenaza
La generalización del uso de los medios electrónicos en el normal desenvolvimiento de la sociedad ha incrementado la superficie de exposición a ataques y, en consecuencia, los beneficios potenciales derivados, lo que constituye sin duda uno de los mayores estímulos para los atacantes.
En los últimos años se ha mantenido la tendencia, incrementándose el número, tipología y gravedad de los ataques contra los sistemas de información del Sector público, de las empresas e instituciones de interés estratégico o de aquellas poseedoras de importantes activos de propiedad intelectual e industrial y, en general, contra todo tipo de entidades y ciudadanos.
Siguen estando presentes las acciones de ciberespionaje, consistentes en ciberataques originados o patrocinados por Estados y perpetrados por ellos mismos o por otros actores a sueldo, y siempre con la intención de apropiarse de información sensible o valiosa desde los puntos de vista político, estratégico, de seguridad o económico.
A modo de resumen, podemos decir que el ciberespionaje presenta las siguientes características generales:
4. La privacidad y la Ley
Los datos personales y su privacidad se han convertido en una prioridad para la sociedad y para todas las empresas. Gran empresa o pyme, independientemente del tamaño deben examinar su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad.
Se considera dato de carácter personal «cualquier información concerniente a personas físicas identificadas o identificables», es decir, un DNI es un dato de carácter personal, una fotografía es un dato de carácter personal, e incluso el dato de la estatura de alguien es un dato de carácter personal, si podemos, de alguna forma, saber a quién pertenece.
Desde el Parlamento Europeo se elaboró el Reglamento General de Protección de Datos o RGPD
Su adaptación al derecho español se hizo por medio de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales o LOPDGDD.
Esta ley es aplicable a empresas, sociedades, comunidades y autónomos que realicen algún tipo de tratamiento de datos personales. Para cumplir con la ley es importante conocerla, siendo el empresario quien proporcionará la formación específica a sus empleados. Así, todos los que manejan datos personales estarán preparados para garantizar los derechos y libertades de las personas desde que se comienza a realizar cualquier tipo de tratamiento sobre sus datos. Llevar a cabo un tratamiento incorrecto sobre los datos personales que gestiona la empresa, puede suponer graves consecuencias para esta y su continuidad en el tiempo. Para ello:
5. Referencias
► Agencia Española de Protección de Datos – https://www.aepd.es/es
► Ángeles Centro Criptológico Nacional (CCN) – https://angeles-elearning.ccn-cert.cni.es/
► Consultoría & Desarrollo IT Firma-e – https://www.firma-e.com/blog/pilares-de-la-seguridad-de-la-informacion-confidencialidad-integridad-y-disponibilidad/#:~:text=Pilares%20de%20la%20Seguridad%20de%20la%20Informaci%C3%B3n%3A%20confidencialidad%2C%20integridad%20y%20disponibilidad,-Inicio
► Revista Expansión – https://expansion.mx/manufactura/especiales/importancia-de-la-informacion
Archivos adjuntos1
-
Add a note